Hele organisationens adfærd er afgørende for sikkerheden

Hvornår erkender vi, at teknologi ikke er nok? Sker det, når vi opdager, at vores veldokumenterede processer er utilstrækkelige? Hvem vil indrømme, at deres ledelse ikke fungerer, når det kommer til styring af IT processer? Det kræver en stærk person at indrømme mangler i den organisatoriske adfærd og takle de sværeste problemer direkte.

Mennesker, processer, teknologi og ledelse er byggestenene i et godt sikkerhedsprogram. De fleste virksomheder kæmper med flere af disse områder og alle har problemer med mindst en af disse byggesten. Det værste er, når der er problemer med at opbygge risiko- og sikkerhedsbevidstheden og indføre sikre fremgangsmåder i organisationens adfærd.

 

En ond cirkel af ineffektivitet

Sikkerhed ses ofte som et teknologisk problem. Der er fysiske aspekter af sikkerhed som fx at få adgang til en bygning, men dem har man normalt haft styr på siden låse og nøgler blev opfundet. I dag er det via teknologien de fleste værdifulde aktiver udsættes for sikkerhedsfarer og derfor er det normalt teknikere, der har ansvaret for sikkerheden.

Teknikere ser, som vi jo ved, de fleste problemer gennem en linse med 0 og 1 taller, software og konfigurationer. I de logiske systemers verden er en mange facetteret verden med individuel adfærd for kompleks – det er ikke simpel logik. Der er ikke mange CSO’er (Chief Security Officer) med en universitetsgrad i organisationsadfærd. Det er nemt at købe nøglefærdigt sikkerhedssoftware og implementere det på de aktiver, der har den største risiko for at blive kompromitterede. Hvis du kan gøre det, kan du vise et målbart fremskridt i forhold til sikkerheden og gå videre til det næste sted, det brænder.

Teknikere ved, at undervisning, kommunikation og analyse af brugeradfærden tager lige så lang tid som produktimplementeringen og kan koste mere end selve produktet. Og for at gøre det endnu værre, hvor mange af os bliver så evalueret ud fra det succeskriterie, at slutbrugerne adopterer sikkerhedsværktøjer og processer på en god måde? Ikke mange – for det er svært at sætte tal på.

Hvis tilgangen til sikkerhed udelukker uddannelse, kommunikation og ændringer i brugeradfærden, finder brugerne måder at omgå den på. Man skal så sikkerhedsmæssigt kunne blokere disse undvigelsesmetoder. Og den cyklus gentager sig selv, indtil der præcis kun er en måde at gøre noget på og det er sjældent den mest effektive eller brugervenlige. Lad os tage et eksempel:

Brugere sender nogle følsomme finansielle informationer på nogle regneark med e-mail. Man udsender en policy, der siger, at regneark med sensitive finansielle informationer ikke må sendes via e-mail. Brugerne gør det alligevel, nogle gange uden at vide det.

En e-mail Data Loss Prevention (DLP) løsning udrulles. Den kan scanne regneark for finansielle informationer og blokere sådanne e-mails. Resultatet er, at brugere inkluderer dem i andre typer af dokumenter eller benytter USB drev.

Dernæst lukker sikkerhedsorganisationen DLP løsningen ned for alle dokumenter og alt e-mail indhold og implementerer en streng og restriktiv policy for lokale devices for at deaktivere USB drev.

På dette tidspunkt har brugerne mistet et meget nyttigt og godt produktivitetsværktøj, fordi de ikke kan overføre noget via USB.

I dette scenarie bliver sikkerheden en forhindring. Den bliver opfattet som en bevidst begrænsning, der dræber produktiviteten. Brugere op til og i ledelsen begynder at brokke sig hver gang, der er et nyt sikkerhedsprojekt eller et ønske om at bruge penge på sikkerhed.

 

Forbedring af organisationens adfærd

Det er mange sikkerhedseksperters erfaring, at der er fem adfærdsmæssige karakteristikker, der bør adresseres. Der børe være:

  • Bevidsthed om almindelige risici og sårbarheder: Alle organisationer har forskellige trusselsvektorer. Alle brugergrupper kan endda være unikke inden for en organisation. Det er vigtigt, at man kommunikerer disse trusler ud til alle brugere, og at man sikrer sig, at de forstår dem, så de kan identificere og undgå dem.
  • Bevidsthed om organisationens policies og praksis: Policies og processer skal ikke bare være nedfældet på papir men være i brugernes bevidsthed. De bør være enkle, tilgængelige og handlingsrettede.
  • Bevidsthed om ansvar: Brugere, administratorer og ledere er nødt til at forstå de personlige og organisatoriske implikationer af sikkerhed. De skal have incitamenter til at handle på en sikker måde og der skal være konsekvenser, hvis man negligerer, forbigår eller hindrer sikkerheden. Det kan være en del af en årlig evaluering eller det kan fx være, at virksomheden giver pizza, hvis man opnår sit sikkerhedsmål (se fx CIS 20 CSC).
  • Benægtelse af risici: Det er en ting at forstå sikkerhedsrisici, men det er noget andet at tro på dem. Hvis man skjuler sikkerhedsbegivenheder, forværrer det problemet, fordi brugerne tænker ”det sker ikke her”.
  • Træning i at opføre sig mere sikkert i de daglige gøremål: Færdigheder forgår let, det kræver øvelse at beholde dem. Psykologisk forskning viser, at der skal ca. 30 dages gentagelse til at danne en ny vane. I den dynamiske sikkerhedsverden er det bedst at øve, gentage og teste periodisk, så organisationens sikkerhedspraksis forbliver permanent.

 

Lad os se på et eksempel fra afsnittet ovenfor igen og prøve en alternativ løsning baseret på de 5 trin herover:

Brugere sender nogle følsomme finansielle informationer i form af regneark med e-mail, derefter udsendes en policy, der forbyder medarbejdere at sende regneark med disse data på e-mail. Man laver og udfører en kommunikationsplan, der bl.a. indeholder e-mail, der skal gøre brugerne bevidste, og giver en times undervisning i organisationens sikkerhedsadfærd og to timers undervisning for de administratorer, hvis brugere har adgang til disse informationer. Brugerne fortsætter med at sende denne slags informationer, men antallet reduceres med 75%.

En e-mail DLP løsning udrulles for at scanne regneark for finansielle informationer og blokere de e-mails, der overtræder policies. Denne løsning giver også brugerne besked, når der er fundet indhold og giver instruktioner om, hvordan de skal udbedre situationen. Resultatet er, at antallet af brugere, der deler disse informationer, reduceres til mindre end fem tilfælde pr. måned. Disse brugere benytter forskellige metoder som fx USB drev.

Sikkerhedsorganisationen udvider derefter DLP løsningen til at overvåge og identificere – men ikke blokere – informationer, der eksporteres til USB drev. Ledelsen henvender sig direkte til de brugere, der har overtrådt policies, sikrer at policies overholdes og finder om nødvendigt en sikker måde at dele denne information på.

Denne tilgang giver brugerne mulighed for at bruge deres USB drev, har et begrænset teknologisk footprint og er mindre restriktiv i det hele taget. Sikkerhed er ikke længere en forhindring.

Det er selvfølgeligt klart, at scenariet ikke tager højde for juridiske hensyn eller ondsindede brugere. Men love og regler øger ikke målmæssigt sikkerheden nær så meget som en uddannet og informeret brugergruppe.

 

Brugeruddannelse og Change Management

Nu hvor det er påvist, hvad der skal ændres og hvordan ændringerne kan hjælpe med at nå vores målsætning om en mere sikker organisation, er det tid til at se på nogle praktiske måder at implementere organisationens sikkerhedsadfærd på.

Uanset om undervisningen foregår face-to-face eller online, vil den gøre det muligt for brugerne at forstå og begynde at bruge sikrere fremgangsmåder. Da der er mange niveauer af undervisning, kræver det ofte flere forskellige metoder og gentagelser. Og derudover skal budskabet og kanalen skræddersys til de konkrete modtagere.

Ved at lagdele kommunikationen kan organisationer påvirke adfærdsændringer effektivt.

Man kan fx følge disse fire trin:

  • Send en e-mail med opfordring til handling og links til hurtige anbefalinger
  • Sørg for at der afholdes obligatorisk, web-baseret undervisning
  • Hold en 15-minutters præsentation ved et kommende møde i den enkelte afdeling
  • Mål effektiviteten, bed om feedback og gør den næste gentagelse endnu bedre.

Incitament- og konsekvensbaseret forandring er en kompliceret kunstart og det er et emne, der er for stort til denne artikel. Men det er en vigtig del af en holistisk tilgang, når man skal ændre en organisations sikkerhedsadfærd. Brugerne har brug for at kende grunden til, at de skal gøre eller ikke gøre noget. Man kan ikke forvente, at alle er super optagede af sikkerhed, men man kan hjælpe dem til at føle sig mere personligt motiverede for at gøre det sikkerhedsmæssigt rigtige. Der er ingen fast formular for, hvordan man gør dette, men det involverer ofte målrettet kommunikation, historier om succeser og fiaskoer, ros for omhu og omhyggelighed i forbindelse med sikkerheden, kriterier for evaluering af såvel individers som afdelingers performance og præmier for gennemførte præstationer.

Selv om konsekvenser normalt ikke er den bedste motivation, er de nødvendige. Det kan fx være evaluering af dårlige præstationer, ledelsesmæssig indgriben og sågar juridiske konsekvenser. Glem heller ikke vigtigheden af social interaktion mellem kolleger. Hvis man kan få medarbejderne til at tale positivt om sikkerhed, kan det have en stor positiv effekt på deres kolleger.

 

Afstemning af organisationens adfærd med forretningsmålene

Sikkerhedsadfærden bør også afstemmes med medarbejdernes daglige opgaver. Det er muligt gennem workshops at lave systemer og oprette processer og kommunikationsmetoder, der er skræddersyet til de mest relevante brugere. Det er et effektivt værktøj, der kan bruges til at reducere opfattelsen af, at sikkerhed er en forhindring i forhold til produktiviteten.

Koncepterne om organisatorisk adfærd, kommunikation, undervisning og andre bløde faktorer, er måske ikke det første, tekniske medarbejdere tænker på. Men for mange organisationer er disse faktorer det næste trin, hvis man vil øge sikkerheden i fremtiden.

 

Oversat til dansk efter artikel af Brett Valentine, Security Intelligence, 17. maj 2017